Compressing — это библиотека сжатия и распаковки для узла. В версиях 2.0.0 и 1.10.3 и более ранних версиях сжатие извлекает архивы TAR, восстанавливая символические ссылки без проверки их целей. Встраивая символические ссылки, которые разрешаются за пределами предполагаемого каталога извлечения, злоумышленник может вызвать запись последующих записей файла в произвольные места в файловой системе хоста. В зависимости от того, как экстрактор обрабатывает существующие файлы, такое поведение может позволить перезаписать конфиденциальные файлы или создать новые файлы в критически важных для безопасности местах. Эта проблема исправлена в версиях 1.10.4 и 2.0.1.
Показать оригинальное описание (английский)
Compressing is a compressing and uncompressing lib for node. In version 2.0.0 and 1.10.3 and prior, Compressing extracts TAR archives while restoring symbolic links without validating their targets. By embedding symlinks that resolve outside the intended extraction directory, an attacker can cause subsequent file entries to be written to arbitrary locations on the host file system. Depending on the extractor’s handling of existing files, this behavior may allow overwriting sensitive files or creating new files in security-critical locations. This issue has been patched in versions 1.10.4 and 2.0.1.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H